Zusammenspiel Adguard + Active Directory + OPNsense
Hallo,
wir haben bisher ein reines Active Directoy DNS bei uns im Netzwerk gehabt, bei dem als Forwarder-DNS die Firewall/Router (OPNsense) eingetragen war. Alle Clients hatten im DHCP den AD-DNS Server eingetragen.
Nun haben wir separat Adguard Home als DNS-Filter installiert und mir stellt sich die Frage, welche DNS-Konfiguration nun sinnvoll ist.
Ich sehe folgende Szenarien:
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
B) Die Clients bekommen Adguard als DNS eingetragen, Adguard leitet lokale DNS-Anfragen an den AD-DNS weiter und externe an die Firewall.
Nachteil: Fällt der Adguard aus (z.B. durch Reboot / Update, whatever) geht mir nicht nur der DNS-Filter flöten, sondern es gibt direkt kein Internetzugriff mehr.
c) Die Clients bekommen die Firewall/Router als DNS eingetragen. Die sendet interne DNS-Anfragen an den AD-DNS und externe an den Adguard, der wiederum an einen externen DNS (Quad9, etc) weiterleitet. In der Firewall gebe ich einen alternativen DNS ein, der auf einen externen DNS-Server verweist (z.B. Quad9) und bei Ausfall von Adguard greift.
Vorteil: Die Clients haben im Fehlerfall von Adguar weiterhin Internet, wenn auch ohne Filterung.
Aus meiner Sicht, würde ich Variante C) anstreben; ist das sinnvoll und funktioniert das? Gerade die Frage nach primärem und sekundärem DNS der Firewall (OPNsence). Wird wirklich immer nur der primäre verwendet und nur im Fehlerfall der sekundäre DNS-Servereintrag?
Übersehe ich etwas oder gibts noch eine andere/sinnvollere Lösung, damit sowohl das Active Directory sauber funktioniert als auch der DNS-Filter sauber arbeiten kann?
Gruß maeck
wir haben bisher ein reines Active Directoy DNS bei uns im Netzwerk gehabt, bei dem als Forwarder-DNS die Firewall/Router (OPNsense) eingetragen war. Alle Clients hatten im DHCP den AD-DNS Server eingetragen.
Nun haben wir separat Adguard Home als DNS-Filter installiert und mir stellt sich die Frage, welche DNS-Konfiguration nun sinnvoll ist.
Ich sehe folgende Szenarien:
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
B) Die Clients bekommen Adguard als DNS eingetragen, Adguard leitet lokale DNS-Anfragen an den AD-DNS weiter und externe an die Firewall.
Nachteil: Fällt der Adguard aus (z.B. durch Reboot / Update, whatever) geht mir nicht nur der DNS-Filter flöten, sondern es gibt direkt kein Internetzugriff mehr.
c) Die Clients bekommen die Firewall/Router als DNS eingetragen. Die sendet interne DNS-Anfragen an den AD-DNS und externe an den Adguard, der wiederum an einen externen DNS (Quad9, etc) weiterleitet. In der Firewall gebe ich einen alternativen DNS ein, der auf einen externen DNS-Server verweist (z.B. Quad9) und bei Ausfall von Adguard greift.
Vorteil: Die Clients haben im Fehlerfall von Adguar weiterhin Internet, wenn auch ohne Filterung.
Aus meiner Sicht, würde ich Variante C) anstreben; ist das sinnvoll und funktioniert das? Gerade die Frage nach primärem und sekundärem DNS der Firewall (OPNsence). Wird wirklich immer nur der primäre verwendet und nur im Fehlerfall der sekundäre DNS-Servereintrag?
Übersehe ich etwas oder gibts noch eine andere/sinnvollere Lösung, damit sowohl das Active Directory sauber funktioniert als auch der DNS-Filter sauber arbeiten kann?
Gruß maeck
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671816
Url: https://administrator.de/forum/zusammenspiel-adguard-active-directory-opnsense-671816.html
Ausgedruckt am: 08.04.2025 um 08:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
Damit wirst du leben müssen. Wenn dein AD grundsätzlich vollumfänglich funktionieren soll.Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
c) Die Clients bekommen die Firewall/Router als DNS eingetragen. Die sendet interne DNS-Anfragen an den AD-DNS und externe an den Adguard, der wiederum an einen externen DNS (Quad9, etc) weiterleitet.
Kann funktionieren. Aber da solltest du sicher sein, was die Konfiguration angeht. Weil Windows Clients in einem Windows-AD sind da sensibel.Gruß,
Dani
Moin,
ich würde weiterhin die AD-DNS Server via DHCP verteilen. Die sollen dann entweder an
Adguard weiterleiten, oder du baust dir auf der FW einen LB (ich meine nginx unterstützt auch UDP) der dann auf 1-n
Adguard VMs die Last verteilt. In dem Fall hättest Du es ausfallsicher und es gäb mehrere Stellen um im Fall der Fälle zu sehen was die Clients machen (FW-Log, LB-Log, tcpdump auf der FW). Adguard selbst würde ich dann zu quad9 oder cloudflare forwarden lassen.
Grüße
Christian
ich würde weiterhin die AD-DNS Server via DHCP verteilen. Die sollen dann entweder an
Adguard weiterleiten, oder du baust dir auf der FW einen LB (ich meine nginx unterstützt auch UDP) der dann auf 1-n
Adguard VMs die Last verteilt. In dem Fall hättest Du es ausfallsicher und es gäb mehrere Stellen um im Fall der Fälle zu sehen was die Clients machen (FW-Log, LB-Log, tcpdump auf der FW). Adguard selbst würde ich dann zu quad9 oder cloudflare forwarden lassen.
Grüße
Christian
Adguard selbst würde ich dann zu quad9 oder cloudflare forwarden lassen.
Warum nicht lokale vertrauenswürdige DNS oder noch sinnvoller den lokalen DNS vom eigenen Provider anstatt Requests um die halbe Welt auf US Server zu senden.https://privacy-handbuch.de/handbuch_93d.htm
Kein Feedback vom TO ist natürlich auch ein Feedback!
Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @maeck:
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
Hi,A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
du musst auch abklären lassen, ob das bei euch datenschutztechnisch erwünscht/gewollt ist. Wir nutzen in unserer Firma ein Pi-Hole und dort hat unser Chef darauf hingewiesen, dass die einzelnen Clientanfragen NICHT zuordnenbar sein sollen, daher ist genau diese Variante bei uns in Benutzung.
Denke auch daran, DOH (DNS over HTTPS) irgendwie aus dem Spiel zu nehmen, sonst bringt dir der beste Werbeblocker nichts, wenn die Browser stattdessen ihre eigenen DNS Anfrage über HTTPS machen.
https://de.wikipedia.org/wiki/DNS_over_HTTPS
Firefox und Chrome aktivieren das standardmäßig, soweit ich weiß.
MfG
Denke auch daran, DOH (DNS over HTTPS) irgendwie aus dem Spiel zu nehmen
Dazu solltest du, um Missverständnisse zu vermeiden, ergänzen das das ausschliesslich NUR für die Browser und ihre eigenen, intern hardgecodeten DNS Server gilt und es nur dort zu deaktivieren ist.https://www.heise.de/hintergrund/DNS-Leck-Browser-ignorieren-Windows-Kon ...
DoH bzw. DoT ist ansonsten eine gute Sache wenn das im DNS Filter bei den Uplink DNS genutzt wird. Die Uplink DNS Server im Adguard supporten DoH und DoT im Gegensatz zum PiHole out of the box.
Ein Grund mehr den Adguard zu verwenden auf dem RasPi.
Quad9 bietet halt ein bisschen extra Sicherheit und ist aus meiner Sicht vertrauenswürdig.
Mit Cloudflare habe ich bisher die beste Erfahrung gemacht was Geschwindigkeit angeht.
Beide sind über CDN weltweit verteilt. Wenn das nicht komplett schief geht, dann landen die Anfragen auch nicht irgendwo sondern in einem nahegelegenen PoP.
Das ist natürlich Geschmackssache und man kann selbstverständlich auch den Provider DNS als Upstream nutzen.
Mit Cloudflare habe ich bisher die beste Erfahrung gemacht was Geschwindigkeit angeht.
Beide sind über CDN weltweit verteilt. Wenn das nicht komplett schief geht, dann landen die Anfragen auch nicht irgendwo sondern in einem nahegelegenen PoP.
Das ist natürlich Geschmackssache und man kann selbstverständlich auch den Provider DNS als Upstream nutzen.
Moin,
Eine weitere, unabhängige Instanz ist nicht im Sinne eines klassischen HA Lösung.
Gruß,
Dani
Firefox und Chrome aktivieren das standardmäßig, soweit ich weiß.
seit wann ist dem so? konnte ich bisher nicht feststellen.Dann bleibt als SPoF weiterhin der Adguard (außer ich baue einen HighAvailableAdguard mit Docker auf – gibt wohl Möglichkeiten dafür).
Soso... wo hast du das denn gelesen?Eine weitere, unabhängige Instanz ist nicht im Sinne eines klassischen HA Lösung.
Gruß,
Dani